Author Topic: Оборудование в локальной сети, другой подсети  (Read 600 times)

tunsa

  • Zen Samurai
  • ****
  • Posts: 302
  • Karma: +11/-1
    • View Profile
Всем доброго дня!


Прошу помощи, есть задача, у меня 2 сетевых интерфейся, один eth0 - internal (192.168.3.0/24), eth1 -external.
В  моей сети есть станок с адресом ip 192.168.2.100 getaway 192.168.2.1 ( настройки изменить нельзя). Производитель станка просит к нему доступ для обновления и пишет, чтобы иметь доступ извне, вы должны установить «порт» переадресация "на ваш интернет-маршрутизатор, который переведет это внутренний сетевой адрес на внешний IP-адрес. Я создал интерфейс тип мост. Но все равно не догоняю, как настроить
http://ipic.su/img/img7/fs/Screenshotat2018-09-2112-03-04.1537513522.png

luha

  • Zen Samurai
  • ****
  • Posts: 429
  • Karma: +31/-1
    • View Profile
Надо сделать так как вам производитель написал и не выходить за рамки. Он же не просил мост, зачем вы туда полезли? В зенчале проброс портов настраивается в "Firewall" > "Port Forwarding". Выбираете нужный внешний интерфейс (eth1), IP на который из-вне стучат, порт ... и т.д., настройка не сложная. Вот только не ясно почему у вас станок настроен на подсеть 192.168.2.0 и выход у него тоже в этой подсети, а внутренний интерфейс у вас неожиданно настроен на 192.168.3.0 ... вы настроили дополнительную подсеть? Ещё я бы порекомендовал в DHCP зарезервировать адрес для станка чтобы другое устройство случайно его не захапало. Внешний IP должен быть СТАТИЧНЫМ и свободным для тех портов что нужны производителю!!!

Когда настроите форвардинг портов производитель постучит на внешний IP на определённый порт, а сервер перенаправит запрос во внутреннюю сеть на адрес станка или любой который вы укажете сами. Можно с одного внешнего IP перенаправлять разные порты и протоколы на разные внутренние адреса. Это не мост.

tunsa

  • Zen Samurai
  • ****
  • Posts: 302
  • Karma: +11/-1
    • View Profile
Надо сделать так как вам производитель написал и не выходить за рамки. Он же не просил мост, зачем вы туда полезли? В зенчале проброс портов настраивается в "Firewall" > "Port Forwarding". Выбираете нужный внешний интерфейс (eth1), IP на который из-вне стучат, порт ... и т.д., настройка не сложная. Вот только не ясно почему у вас станок настроен на подсеть 192.168.2.0 и выход у него тоже в этой подсети, а внутренний интерфейс у вас неожиданно настроен на 192.168.3.0 ... вы настроили дополнительную подсеть? Ещё я бы порекомендовал в DHCP зарезервировать адрес для станка чтобы другое устройство случайно его не захапало. Внешний IP должен быть СТАТИЧНЫМ и свободным для тех портов что нужны производителю!!!

Когда настроите форвардинг портов производитель постучит на внешний IP на определённый порт, а сервер перенаправит запрос во внутреннюю сеть на адрес станка или любой который вы укажете сами. Можно с одного внешнего IP перенаправлять разные порты и протоколы на разные внутренние адреса. Это не мост.
да все это понятно с форфардингом, но в том то и вопрос, менять ip на станке нельзя это невозможно, он уже зашит туда, а локалка у меня с адресом 192.168.3.0/24. а станок 192.168.2.100. Вот я и спрашиваю как настроить чтобы они увидели станок из вне. Что сделать? сделать еще один адрес интерфейсу, но как?
« Last Edit: September 21, 2018, 10:19:04 am by tunsa »

luha

  • Zen Samurai
  • ****
  • Posts: 429
  • Karma: +31/-1
    • View Profile
Да. Нужно для внутреннего физического интерфейса дописать ещё одну логическую подсеть.
Network > Interfaces > Virtual Interfaces

Ещё можно настроить как между собой эти подсети будут взаимодействовать. Например если надо запретить обмен трафика, но это не обязательно, оставьте на потом, пусть для начала заработает то что нужно.

tunsa

  • Zen Samurai
  • ****
  • Posts: 302
  • Karma: +11/-1
    • View Profile
Да. Нужно для внутреннего физического интерфейса дописать ещё одну логическую подсеть.
Network > Interfaces > Virtual Interfaces

Ещё можно настроить как между собой эти подсети будут взаимодействовать. Например если надо запретить обмен трафика, но это не обязательно, оставьте на потом, пусть для начала заработает то что нужно.
Создаю virtual interfaces у сетевой карты которая смотрит в локалку.
https://ibb.co/bRMgGp
Получается какой адрес должен быть у virtual interfaces ? Если ip у станка 192.168.2.100 ?
И нужно ли прописывать маршруты в файрволе?
Можно поподробнее
« Last Edit: September 22, 2018, 07:49:49 am by tunsa »

luha

  • Zen Samurai
  • ****
  • Posts: 429
  • Karma: +31/-1
    • View Profile
В принципе правильно сделали, сервер начал обслуживать подсеть 192.168.2.0/24 но в таком случае адрес сервера будет 192.168.2.50 а учитывая что "В  моей сети есть станок с адресом ip 192.168.2.100 getaway 192.168.2.1 ( настройки изменить нельзя)." то из этого вытекает что:
- нельзя серверу присваивать адрес как у станка (192.168.2.100)
- раз станок хочет видеть шлюз под адресом 192.168.2.1 а сервер и есть для станка этим шлюзом то соответственно и адрес надо назначить не 192.168.2.50 а всётаки 192.168.2.1

В файервале надо порты пробросить, я уже писал где и как. Вы позовите кого-нибудь опытного в помощ, лучше когда каждый своим делом занимается. В настойке сети есть очень много нюансов и если хотите чтобы работало без проблем надо топологию изучить сначала а потом делать и не слепо а с твёрдым пониманием.

tunsa

  • Zen Samurai
  • ****
  • Posts: 302
  • Karma: +11/-1
    • View Profile
В принципе правильно сделали, сервер начал обслуживать подсеть 192.168.2.0/24 но в таком случае адрес сервера будет 192.168.2.50 а учитывая что "В  моей сети есть станок с адресом ip 192.168.2.100 getaway 192.168.2.1 ( настройки изменить нельзя)." то из этого вытекает что:
- нельзя серверу присваивать адрес как у станка (192.168.2.100)
- раз станок хочет видеть шлюз под адресом 192.168.2.1 а сервер и есть для станка этим шлюзом то соответственно и адрес надо назначить не 192.168.2.50 а всётаки 192.168.2.1

В файервале надо порты пробросить, я уже писал где и как. Вы позовите кого-нибудь опытного в помощ, лучше когда каждый своим делом занимается. В настойке сети есть очень много нюансов и если хотите чтобы работало без проблем надо топологию изучить сначала а потом делать и не слепо а с твёрдым пониманием.
спасибо за ответ, попробую сделать. Проброс портов знаю, как делается. Кроме меня нет никого, помогать некому 

luha

  • Zen Samurai
  • ****
  • Posts: 429
  • Karma: +31/-1
    • View Profile
Пробуйте тогда, что ж поделать. Но аккуратно и постарайтесь запоминать что вы и где делаете чтобы потом было проще если вдруг что-то пойдёт не так.

tunsa

  • Zen Samurai
  • ****
  • Posts: 302
  • Karma: +11/-1
    • View Profile
Пробуйте тогда, что ж поделать. Но аккуратно и постарайтесь запоминать что вы и где делаете чтобы потом было проще если вдруг что-то пойдёт не так.

не по теме, сами какую версию zentyal используете? и сколько у вас машин в сети?

luha

  • Zen Samurai
  • ****
  • Posts: 429
  • Karma: +31/-1
    • View Profile
Конкретно роутер работает на zentyal версии 3.3, но уже надо его менять, не знаю будет ли это снова зенчал. Пользовательских компьютеров около 40 без учёта переносных, серверов в серверной около двадцати без учёта виртуальных и это только в одном филиале, а компания международная. Звучит круто но на деле довольно средненько, видел и посложнее сети со складами, магазинами, офисами и производством... вот там да. ;)
« Last Edit: September 24, 2018, 10:58:53 am by luha »

tunsa

  • Zen Samurai
  • ****
  • Posts: 302
  • Karma: +11/-1
    • View Profile
Конкретно роутер работает на zentyal версии 3.3, но уже надо его менять, не знаю будет ли это снова зенчал. Пользовательских компьютеров около 40 без учёта переносных, серверов в серверной около двадцати без учёта виртуальных и это только в одном филиале, а компания международная. Звучит круто но на деле довольно средненько, видел и посложнее сети со складами, магазинами, офисами и производством... вот там да. ;)
а на 5.1 нет желания перейти?

luha

  • Zen Samurai
  • ****
  • Posts: 429
  • Karma: +31/-1
    • View Profile
К сожалению зенчал, вместо того чтобы доводить до ума то что есть, сильно лихорадит. Пакеты то появляются, потом исчезают, затруднена процедура актуализации, по факту не работает резервное копирование. Всё в купе не подходит к уровню принятых стандартов и для использоватия в боевых условиях не годится. Уж лучше руками буду всё настраивать через консоль.